Microsoft dice que los piratas informáticos iraníes están explotando la vulnerabilidad de Zerologon



Microsoft dijo el lunes que los piratas informáticos patrocinados por el estado iraní están explotando la vulnerabilidad de Zerologon en campañas de piratería informática del mundo real.\n\nLos ataques exitosos permitirían a los piratas informáticos hacerse cargo de los servidores conocidos como controladores de dominio (DC) que son la pieza central de la mayoría de las redes empresariales y permitirían a los intrusos obtener un control total sobre sus objetivos.\n\nLos ataques iraníes fueron detectados por el Centro de Inteligencia de Amenazas de Microsoft (MSTIC) y han estado ocurriendo durante al menos dos semanas, dijo la compañía hoy en un breve tweet.\n\nMSTIC vinculó los ataques con un grupo de piratas informáticos iraníes que la compañía rastrea como MERCURY, pero que son más conocidos bajo su nombre de MuddyWatter.\n\nSe cree que el grupo es un contratista del gobierno iraní que trabaja bajo las órdenes del Cuerpo de la Guardia Revolucionaria Islámica, el servicio militar y de inteligencia principal de Irán.\n\nSegún el Informe de defensa digital de Microsoft, este grupo históricamente se ha dirigido a ONG, organizaciones intergubernamentales, organizaciones gubernamentales de ayuda humanitaria y de derechos humanos. \u003cbr\u003e\n\nNo obstante, Microsoft dice que los objetivos más recientes de Mercury incluyen \"un gran número de objetivos involucrados en el trabajo con refugiados\" y \"proveedores de tecnología de red en el Medio Oriente\".\n\nZerologon fue descrito por muchos como el error más peligroso revelado este año. El error es una vulnerabilidad en Netlogon, el protocolo utilizado por los sistemas Windows para autenticarse en un servidor Windows que se ejecuta como controlador de dominio. \u003cbr\u003e\n\nLa explotación del error de Zerologon puede permitir a los piratas informáticos hacerse cargo de un controlador de dominio sin parches y, de forma inherente, la red interna de una empresa.\n\nLos ataques generalmente deben llevarse a cabo desde redes internas, pero si el controlador de dominio está expuesto en línea, también se pueden realizar de forma remota a través de Internet.\n\nMicrosoft emitió parches para Zerologon (CVE-2020-1472) en agosto, pero el primer artículo detallado sobre este error se publicó en septiembre, lo que retrasó la mayoría de los ataques. \u003cbr\u003e\n\nPero mientras los investigadores de seguridad retrasaron la publicación de los detalles para dar a los administradores de sistemas más tiempo para parchear, el código de prueba de concepto armado para Zerologon se publicó casi el mismo día que el informe detallado, lo que provocó una ola de ataques en unos días.\n\nTras la divulgación del error, el DHS dio a las agencias federales tres días para parchear los controladores de dominio o desconectarlos de las redes federales a fin de evitar ataques, que la agencia esperaba que ocurrieran, y lo hicieron, días después.\n\nLos ataques de MERCURY parecen haber comenzado alrededor de una semana después de la publicación de este código de prueba de concepto, y aproximadamente al mismo tiempo, Microsoft comenzó a detectar los primeros intentos de explotación de Zerologon. \u003cbr\u003e\n\npags\n\nVER GALERIA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı